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(57) Abstract: The invention relates to a method for the authentication of a client entity (A) by an authentication entity (B ) compris- 
ing several secret keys (K Ai ) which are each associated with a client entity (Ai) to be identified. The inventive method comprises the 
following steps consisting in: sending an authentication counter value (CB) from the authentication entity (B) to the client entity (A) 
following an authentication request; at the client entity end, verifying that the counter value received is strictly greater than a counter 
value (CA) stored by the client entity; at the client entity end, calculating a counter signature (S(K<SB>A</SB>, CB)) and trans- 
mitting same to the authentication entity; updating the counter value (CA) stored by the client entity with the authentication counter 
value (CB); at the authentication entity end (B), looking for a client entity (Ai) to be identified, for which the corresponding counter 
^ signature (S(K Aj , CB)) is consistent with the received counter signature (S(K<SB>A</SB>, CB)); and increasing the authentication 
ID counter (COMPTB). 



fsj (57) Abrege : Invention concerne un precede d'authentification d'une entite cliente (A) par une entite d'authentification (B) com- 

Oprenant plusieurs cles secretes (K Ai ) associee chacune a une entite* cliente (Ai) a identifier, consistant a -envoyer une valeur de 
compteur d'authentification 
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(CB) de Tentite d'authentifi cation (B) vers 1'entite cliente (A) suite a une demande d'authentification; -verifier, cote entite cliente, que 
la valeur de compteur recue est strictement superieure a une valeur de compteur (CA) memorisee par 1'entite cliente; -calculer, cote 
entite cliente, une signature du compteur (S(K A , CB)) et la transmettre a 1'entite d'authentification; -mettre a jour la valeur de compteur 
(CA) memorisee par 1'entite cliente avec ladite valeur de compteur d'authentification (CB); -rechercher, cote entite d'authentification 
(B), une entite cliente (Ai) a identifier pour laquelle la signature de compteur correspondante (S(K Ai , CB)) est coherente avec la 
signature de compteur recue (S(K A , CB)); -faire croitre le compteur d'authentification (COMPTB). 
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PROCEDE D'AUTHENTIFICATION ANTONYME 



La presente invention se rapporte a un procede 
d'authentif ication par cle secrete d'au moins un 
utilisateur, en vue par exemple d'autoriser ou non cet 
utilisateur a acceder a des ressoarces lorsque l'anonymat 
de 1 'utilisateur qui s ' authentif ie est requis. 
Dans la presente description, le terme de ressources doit 
etre pris avec une acceptation trres large et designe de 
maniere generale toute fonction, application, service, 
ensemble de donnees a laquelle* un utilisateur peut 
acceder et dont l'acces est conditionne par une 
autorisation prealable delivree a 1' issue d'une procedure 
d'authentif ication. A titre d' exemple non limitatif, il 
peut s'agir d'un service foiarni par un serveur 
specialise, une fonction d'acces a un reseau, une 
ressource inf ormatique telle qu'une base de donnees ou 
une application logicielle disponlble sur un serveur et 
pouvant dtre partagee par plusieurs utilisateurs . 

D'une maniere generale, 1 ' authenti f ication est un service 
de securite realise par une entite d' authentif ication, 
dont l'objectif est de valS-der l'identite d'un 
utilisateur qui souhaite s ' identi f ier , apportant par la 
meme la preuve de la legitimite de cet utilisateur a 
acceder aux ressources concernees. Une entite 
d'authentif ication designe coramun-ement tout equipement, 
machine ou systeme inf ormatique qui permet de centraliser 
un processus d' authentif ication et qui est accessible par 
des utilisateurs souhaitant s 'auth_entif ier pour l'acces a 
des ressources, via un reseau de telecommunication. 
De fagon usuelle, un utilisateur souhaitant declencher un 
processus d' authentif ication dispose d'une entite cliente 
lui permettant de communicguer avec 1' entite 
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d' authentif ication. Une entite cliente dans la presente 
description, designe tout systeme ou equipement 
electronique permettant d'echanger des donnees avec 
1' entite d' authentif ication, de preference sans contact. 
Selon l'art anterieur, 1 ' authentif ication par cle secrete 
se caracterise essentiellement par la succession d'etapes 
suivantes telles que representees a la figure 1. Ainsi, 
lorsque une entite cliente A souhaite s ' authentif ier 
aupres d'une entite d' authentif ication B, elle fournit 
dans un premier temps son identite a 1' entite B, sous la 
forme d'un identifiant statique qui lui est specif ique, 
ot la prouve ensuite par 1 ' utilisation d'une cle secrete 
K A cormue et partagee par les entites A et B seulement . 
Pour ce faire, lorsque 1' entite d' authentif ication B 
regoit une demande d' authentif ication emise par une 
entite cliente se presentant a elle comme detentrice de 
1' identite A, ladite entite d' authentif ication genere 
d'abord un nombre aleatoire appele alea, ou encore appele 
challenge, et envoie cet alea a 1' entite cliente A. En 
retour, 1' entite cliente chiffre, on dit encore signe, 
l'alea regu selon un algorithme c ryp to graph i que predefini 
a cle secrete, tel que 1 ' algorithme DES (acronyme anglo- 
saxon pour « Data Encryption Standard ») . L ' entite A 
renvoie alors a 1 ' entite d' authentif ication B la valeur 
C(K A , alea), ou C est une fonction cryptographique . 
L ' entite B effectue de son cote le meme calcul en 
utilisant la fonction cryptographique C et la cle secrete 
de A K A , et compare le resultat obtenu avec la valeur 
que lui a retourne 1' entite A. En cas de coherence entre 
le resultat attendu et la valeur que lui a retournee A, 
1' entite d ' authentif ication B valide 1 ' authentif ication, 
signifiant ainsi que A a reussi a s ' authentif ier . La 
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validation de 1 ' authentif ication se traduit par exemple 
par 1 ' envoi par 1'entite d' authentif ication a destination 
de 1'entite cliente A qui a ete authentif ie, des droits 
d'acces aux ressources. 

De telles methodes d' authentif ication a cle secrete sont 
largement repandues dans les reseaux de 

telecommunications, mais presentent toutefois un certain 
noiribre d'inconvenients en ce qui concerne la garantie de 
l'anonymat de 1'entite cliente souhaitant s ' authentif ier . 
En effet, pour initialiser le processus 

d' authentif ication, un identifiant specif ique de 1'entite 
cliente est necessairement transmis en clair a 1'entite 
d' authentif ication. Ainsi, un tiers malveillant est a 
meme de connaitre 1 ' identifiant specif ique de 1'entite 
qui s 'authentif ie par 1 ' observation de la transaction 
entre 1'entite d' authentif icatiori et 1'entite 
s ' authentif iant . 

De plus, 1 ' identifiant specif ique d'une entite souhaitant 
s' authentif ier peut egalement etre deduite par un tiers 
malveillant agissant cette fois de fagon active, c'est-a- 
dire en initialisant un processus d' authentif ication en 
se faisant passer pour une entite d' authentif ication vis- 
a-vis de 1'entite s ' authentif iant . 

Une entite s ' authentif iant peut encore etre reconnue par 
1' observation de son comportement et, plus 
particulierement par 1 ' observation des reponses fournies 
par 1'entite au cours de processus d' authentif ication 
anterieurs . 
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En effet, les reponses fournies par . une entite 
s ' aiathentif iant sont caracteristiques de certaines 
entrees correspondant aux aleas qui lui ont ete soumis 
par 1' entite d' authentif ication et, pour une meme entree, 
1' entite s ' authentif iant fournira toujours la meme 
reponse. En observant au prealable la reponse de 1' entite 
a des valeurs caracteristiques d'alea, il est possible de 
reconnaitre une entite s ' authentif iant en lui soumettant 
a nouveau une de ces valeurs d'alea pour laquelle une 
reponse de 1' entite a deja ete observee. Ainsi, une 
entite qui signe des aleas pour s ' authentif ier peut etre 
caracterisee par sa reponse pour une valei'r d'alea 
particuliere (par exemple, 0, 10, 100, 1000, etc....). En 
observant deux identifications successives avec le meme 
alea, il est done possible de deduire si ce sont deux 
entites distinctes ou la meme entite qui se sont 
autfrentif iees . 

La presente invention a pour but de remedier a ces 
inconvenients en proposant un procede d' authentif ication 
base sur un algorithme de chiffrement a cle secrete, dans 
leqiael l'anonymat de 1' entite s ' authentif iant est 
garanti, de sorte a ce que seule une entite 
d'avathentif ication legitime puisse reconnaitre l'identite 
de 1' entite qui s ' authentif ie et personne d' autre. 

Avec cet objectif en vue, 1 ' invention a pour objet un 
procede d' authentif ication d'au moins une entite cliente 
par une entite d' authentif ication, ladite entite 
d' aiathentif ication comprenant un ensemble de cles 
secretes, chacune etant associee a une entite cliente 
susceptible d'etre identifiee par ladite entite 
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d' authentif ication, ledit procede etant caracterise en ce 
qu'il comprend les etapes suivantes consistant a : 
a-transmettre une demande d' authentif ication anonyme de 
la part de l'entite cliente vers l'entite 
d' authentif ication ; 

b-envoyer <3e l'entite d ' authentif ication vers l'entite 
cliente, une valeur de compteur d' authentif ication 
correspondant a l'etat courant d'un compteur de l'entite 
d' authentif ication; 

c-verifier, cote entite cliente, que la valeur de 
compteur d ' authentif ication regue est strictement 
superieure a une valeur de compteur memorisee par 
l'entite cliente ; 

d-calculer, cote entite cliente, une signature de 
compteur par application d'une fonction cryptographique 
partagee par l'entite cliente et l'entite 

d' authentif ication, avec comme operandes ladite valeur de 
compteur d' authentif ication et une cle secrete associee a 
l'entite cliente ; 

e-transmettre ladite signature de compteur a l'entite 
d ' au t hen tification ; 

f-mettre a jour la valeur de compteur memorisee par 
l'entite cliente avec ladite valeur de compteur 
d ' au then tification; 

g-rechercher, cote entite d' authentif ication, au moins 
une entite cliente susceptible d'etre identifiee, pour 
laquelle la signature de compteur correspondante pour 
ladite valeur de compteur d' authentif ication est 
coherente avec la signature de compteur regue ; 
h-faire croitre le compteur d' authentif ication. 
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De preference, les etapes b) a h) sont reiterees au moins 
une fois, de soirte a s ' assurer que 1' entite cliente 
identifiee est identique a chaque iteration. 
Selon un mode de realisation particulier, l'etape de 
recherche consiste a : 

i-calculer, pour chaque entite cliente susceptible d'etre 
identifiee, la signature de compteur correspondante par 
application de la. fonction cryptographique avec comme 
operandes la valeiar de compteur d' authentif ication et la 
cle secrete associee, de sorte a etablir une liste de 
couples entite cliente susceptible d'etre 

identif iee/signature de compteur correspondante, pour 
ladite valeur de compteur; 

j -verifier la coherence entre la signature de compteur 
regue et au moins une signature de compteur de ladite 
liste . 

De preference, la liste des couples entite cliente 
susceptible d'etre identif iee/signature de compteur 
correspondante etablie pour une valeur de compteur 
d' authentif ication donnee, est ordonnee, cote entite 
d' authentif ication, selon la valeur de ladite signature 
de compteur. 

Selon ce mode de realisation, en cas de coherence entre 
la signature de compteur regue et la signature de 
compteur d'une pluralite de couples, les etapes b) a h) 
sont reiterees juscqu'a obtention d'un couple unique pour 
lequel la signature de compteur correspond a la signature 
de compteur regue. 

De preference, lors de la repetition de l'etape i), la 
signature de compteur est calculee uniquement pour les 
entites clientes correspondant a ladite pluralite de 
couples determinee a 1 ' iteration precedente . 
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Dans une variante, le procede selon 1 ' invention consiste 
a mettre en oeuvre l'etape i) de maniere anticipee par 
rapport a une demande d' aiuthentif ication issue d'une 
entite cliente a l'etape a), ladite etape i) anticipee 
consistant a pre-etablir, cote entite d' authentif ication, 
pour au moins une valeur de compteur d' authentif ication a 
venir, la liste des couples entite cliente susceptible 
d'etre identif iee/signature de compteur correspondante 
pour chacune desdites valeurs de compteur 

d' authentif ication a venirtr, et a memoriser lesdites 
listes pre-etablies cote entite d' authentif ication, tout 
envoi de 1' entite d' authentif ication vers 1' entite 
cliente d'une valeur de compteur d' authentif ication, 
correspondant a 1' envoi d'une valeur de compteur 
d' authentif ication pour laqrielle une liste des couples 
entite cliente susceptible ci'etre identif iee/signature de 
compteur correspondante a deja ete pre-etablie. 
De preference, l'etape h) consiste a faire croitre le 
compteur d' authentif ication d'un pas fixe* 

Dans une variante, l'etape h.) consiste a faire croitre le 
compteur d' authentif ication d'un pas aleatoire . 
Selon un mode de realisation particulier, en reponse a 
une demande d' authentif ication, l'etape b) consiste a 
envoyer, cote entite d' auttientif ication, en plus de la 
valeur de compteur d' authentif ication, une valeur 
aleatoire associee a ladite valeur de compteur, ladite 
valeur aleatoire etant dxfferente pour chacune des 
valeurs de compteur d' authentif ication envoy ee, chaque 
etape de signature de compteur mise en oeuvre au cours 
dudit procede etant remplacee par une etape de signature 
du couple valeur de compteur d' authentif ication/valeur 
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aleatoire associee, consistant en 1 ' application de la 
fonction cryptographique comprenant en plus coirane 
operande ladite valeur aleatoire associee. 

Selon une variante, l'etape c) consiste en outre a 
verifier que la difference entre la valeur de compteur 
d' authentif ication regue et la valeur de compteur 
memorisee par l'entite cliente est inferieure ou egale a 
une valeur predeterminee . 

Dans une variante, lorsque l'etajpe c) n'est pas verifiee, 
les etapes intermediaires suivaates sont mises en oeuvre 
consistant a : 

-envoyer de 1 ' entite cliente v?rs 1 ' entite 
d' authentif ication, la valeur de compteur memorisee par 
l'entite cliente ; 

-envoyer de l'entite d' authentif ication vers l'entite 
cliente, une valeur de compteur d' authentif ication 
temporaire superieure a ladite valeur de compteur 
memorisee par l'entite cliente, puis a : 

-mettre en oeuvre les etapes d) a g) sur la base de la 
valeur de compteur d' authentif ication temporaire et, en 
cas de succes de 1 ' authentif ication de ladite entite 
cliente, 

-mettre a jour la valeur de compteur d' authentif ication 
correspondant a l'etat courant <du compteur de l'entite 
d' authentif ication avec la valeur de compteur 
d' authentif ication temporaire et mettre en oeuvre l'etape 
h) . 

De preference, l'etape e) consiste a transmettre en outre 
a l'entite d' authentif ication la valeur de compteur 
d ' authentif ication . 
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De preference, la valeur de compteur d' authentif ication 
est codee sur au inoins 128 bits. 

Jj' invention concerne egalement une carte a puce, 
caracterise en ce qu'elle comprend un circuit integre et 
des moyens de memorisation d'une cle secrete et de mise 
en ceuvre du procede selon 1' invention. 

De preference, il s'agit d'une carte a puce sans contact. 
L ' invention concerne encore une entite d ' authentif ication 
d'au mo ins une entite cliente, caracterise en ce qu'elle 
comprend un lecteur de carte a puce dote de moyens pour 
la mise en ceuvre du procede selon 1' invention. 
De preference 1 ' entite d ' authentif icati on comprend un 
lecteur de carte a puce sans contact. 

D'autres caracteristiques et avantages cle la presente 
invention apparaitront plus clairement a la lecture de la 
description suivante donnee a titre d'exemple illustratif 
et non limitatif et faite en reference aux figures 
annexees dans lesquelles : 

-la figure 1 est un schema illustrant un processus 
<!' authentif ication par cle secrete selon. l'etat de la 
technique, et a deja ete decrite ; 

— la figure 2 est un schema illustrant les principales 
otapes du procede d' authentif ication selon la presente 
invention. 

La figure 2 decrit done les etapes principales du procede 
d' authentif ication par cle secrete d'une entite cliente A 
P ar u ^e entite d' authentif ication B, selon la presente 
invention. 
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L'entite A souhaitant s ' authentif ier possede une cle 
secrete K A qui lui est propre, un moyen de memorisation 
d'une valeur de compteur CA, ainsi qu'une fonction 
cryptographique de signature S, partagee egalement par 
l'entite d' authentif ication B, et qui est prevue pour 
s'appliquer avec les deux operandes suivants : une cle 
secrete et une valeur de compteur, de sorte a signer la 
valeur de compteur. 

L'entite d ' authentif ication B comprend quant a elle une 
liste de couples (Ai, K Ai ) , Ai etant le nom d'\xne des n 
entites clientes susceptibles d'etre authentif iees par 
l'entite d' authentif ication B et K Ai etant la cle secrete 
associee a l'entite cliente Ai qui lui est propre. 
L'entite d' authentif ication ... comprend egalement un 
compteur COMPTB delivrant une valeur de compteur CB et la 
fonction cryptographique S, identique a celle implement ee 
dans l'entite cliente A. 

Lie deroulement du processus d' authentif ication anonyme 
selon 1' invention est le suivant . Dans une premiere 
etape, lorsque l'entite cliente A veut s ' authientif ier 
aupres de l'entite d' authentif ication B, elle se signale 
a B par la transmission d'une demande d' authentif ication 
anonyme « DemandeAuthentif ication ». En reponse, dans une 
detixieme etape, l'entite d' authentif ication B envoie vers 
l'entite cliente A la valeur de compteur CB correspondant 
a 1'etat courant de son compteur COMPTB. 

Dans une troisieme etape, l'entite cliente A compare la 
valeur de compteur CB req:ue avec la valeur de compteur CA 
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memorisee par I'entite cliente A. A ce stade, deux 
possibilites s' off rent a I'entite cliente A : 

Soit CA > CB, alors i'entite cliente A ne fait plus rien 
car cette situation signifie qu'une entite essaye de 
faire rejouer une signature a I'entite cliente A. Or, 
selon une caracteristique de 1' invention, pour ne pas 
etre reconnaissable par son comportement, une entite 
cliente ne signe jaonais deux fois les memes donnees. 
Cette situation met done fin au processus 
d ' authenti f ication . 



Soit CA < CB, alors I'entite cliente A peut avoir- 
confiance en I'entite d' authentif ication B car la valeuir 
de compteur regue CB etant superieure strictement a la 
valeur de compteur memorisee par A, cela signifie que 
cette valeur de compteur CB ne lui a encore jamais ete 
soumise pour signature. Le processus passe alors a 
1 ' etape suivante . 



Dans une quatrieme etape, I'entite cliente A signe la 
valeur de compteur regue CB par application de la 
fonction cryptographs que S avec comme operandes la cle 
secrete K A associee a I'entite cliente A et la valeur de 
compteur CB. Le resultat de cette operation de signature 
de compteur S(K A/ CB) est transmis de I'entite cliente A 
vers I'entite d' authentif ication B. L ' entite cliente A 
met alors a jour dans une cinquieme etape sa valeur de 
compteur memorisee CA avec la derniere valeur de compteur 
licite qui lui a. ete transmis par I'entite 
d' authentif ication B, a savoir CB . 
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Dans une sixieme etape, l'entite d' authentif ication B 
recherche au moins une eratite cliente Ai parmi les n 
entites clientes qu'elle est capable d' authentif ier, pour 
laquelle la signature correspondante de la valeur de 
compteur CB S(K A i/ CB) est coherente avec la signature de 
compteur regue de l'entite cliente qui cherche a 
s ' authentif ier S(K A/ CB) . 

Si aucune entite cliente susceptible d'etre identifiee 
n'est trouvee, alors cela signifie que 1 ' authentif ication 
a echoue . A 1' inverse, si exactement une entite cliente 
Ai est trouvee a 1' issue cle la phr.se de recherche pour 
laquelle S(K Ai , CB) = S(K A/ CB) , alors l'entite 
d' authentif ication B en conclut que A = Ai . Cela signifie 
que c'est l'entite cliente Ai qui a cherche a 
s ' authentif ier aupres de l'entite d' authentif ication B et 
que cette authentif ication a reussi. 

Dans une septieme et derniere etape mettant fin au 
processus d' authentif ication, 1 ' entite d' authentif ication 
B fait croitre la valeur: de compteur CB pour une 
prochaine demande d' authenti. f ication . 

II est possible qu'un fraudeur , en renvoyant un nombre 
tire au hasard, torabe surr une valeur S(K Ai/ CB) qui 
existe et done se fasse passer pour l'entite cliente Ai . 
Pour eviter ce risque, l'entite d' authentif ication B peut 
systematicjuement faire refaire le processus 

d' authentif ication au moins une seconde fois de sorte a 
s' assurer qu'il reconnait chaque fois la meme entite 
cliente. Le processus peut meme etre repetee N fois, 
jusqu'a obtenir une probabilite de tomber au hasard N 
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A 



fois sur une valeur de signature correspondant a la meme 
entite cliente suffisamment faible. 

Egalement, une autre optimisation du processus 
d'authentification concerne la gestion des cas de 
collision. En effet, a 1' issue cle la sixieme etape, on 
peut aboutir a un cas de collision, c'est-a-dire que 
plusieurs entites clientes Ai_ susceptibles d'etre 
identifiees par 1 'entite d'authentification B ont ete 
trouvees pour lesquelles la signature de compteur S(K Ai , 
CB) est coherente avec la signature de compteur recue S(K 
, CB) . II existe en effet une pzrobabilite faible, mais 
non nulle, pour la fonction crypt ographique de signature 
S fournisse un resultat identicnie pour deux donnees 
differences. Dans cette situation de collision, il est 
necessaire de repeter les etapes du precede a partir de 
la deuxieme etape, avec une valeur de compteur CB 
incrementee a chaque repetition., jusqu'a l'obtention 
d'une entite cliente Ai susceptible d'etre identifiee 
unique, pour laquelle S(K Ai , CB) = S(K A , CB) . 

La sixieme etape, consistant en la. phase de recherche par 
1' entite d'authentification d'au muoins une entite cliente 
Ai parmi les n entites clientes qu'elle est capable 
d'authentifier, pour laquelle la signature correspondante 
de la valeur de compteur CB S(K Ai , CB) est coherente avec 
la signature de compteur recue de 1' entite cliente qui 
cherche a s ' authentif ier S(K A , CB) , peut etre mise en 
oeuvre de la maniere suivante . L' entite d'authentification 
B calcule, pour chaque entite cliente Ai susceptible 
d'etre identifiee, la signature de compteur 
correspondante S(K Ai/ CB) par application de la fonction 
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cryptographique S avec coinme operandes Ha valeur de 
compteur d' authentif ication CB et la cle secrete associee 
K Ai/ de sorte a etablir une liste de couples entite 
cliente susceptible d'etre identif iee/signature de 
compteur correspondante (Ai, S(K Ai , CB) ) , pour la valeur 
de compteur CB courante. 

Une fois cette liste etablie, 1' entite d' authentication 
la parcourt pour verifier s'il existe au moixis une entite 
cliente susceptible d'etre identif iee Ai vexrifiant S(K Ai/ 
CB) = S(K A/ CB) . 

Dans le cas ou plusieurs couples (Ai, S(K Ai , CB) ) 
correspondent, on a vu qu'il etait necessaire de repeter 
les operations d' envoi et de signature d'ane valeur de 
compteur CB. Neanmoins, cette repetition peut encore 
aboutir a 1' existence de plusieurs couples (Ai, S(K Ai , 
CB) ) qui correspondent. Dans ce cas, il est prevu de ne 
chercher les couples possibles que parmi les couples 
ayant deja ete selectionnes aux iterations precedentes . 
Ainsi, le procede convergera plus vite vers une entite 
cliente Ai unique puisque, a chaque iteration, la 
signature de compteur S(K Ai , CB) est calculee uniquement 
pour les entites clientes Ai correspondant aux couples 
(Ai, S(K Ai , CB)) selectionnee a l'iteration pxecedente. 

A la sixieme etape, la phase de calcul par B, pour chaque 
entite cliente Ai susceptible d'etre identzlfiee, de la 
signature de compteur correspondante S(K Ai , CB) , de sorte 
a etablir la liste de couples entite cliente susceptible 
d'etre identif iee/signature de compteur correspondante 
(Ai, S(K Ai , CB) ) , pour la valeur de compteur- CB courante 
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peut etre tres longue et penalisante en termess de temps 
de reponse. Pour regler ce probleme, selon uae variante 
de 1' invention, il est prevu que l'entite 
d' authentif ication B pre-calcule, pour au moins une 
valeur de compteur d' authentif ication CB a -venir, les 
listes de couples (Ai, S(K Ai/ CB) ) pour ces valeurs CB a 
venir et memorise ces resultats . Ainsi, lorsqu' une entite 
cliente souhaitera s ' authentif ier par 1' envoi du message 
DemandeAuthentif ication, 1 ' entite d' authentic ication B 
repondra en envoyant une valeur de compter 
d' authentif ication CB pour laquelle la liste <Ai, S(K Ai/ 
CB) ) aura deja ete etablie. De maniere generals, selon -:e 
mode de realisation, tout envoi de B vers A d' une valeur 
de compteur d' authentif ication CB corresponclra a une 
valeur de compteur d ' authentif ication pour lacguelle une 
liste (Ai, S(K Ai , CB) ) aura deja ete etablie. 

La phase de verification par l'entite d' authentif ication 
B, consistant a rechercher 1' existence d'au moins une 
entite cliente Ai de la liste (Ai, S(K A i, CB) ) pour 
laquelle S(K Ai/ CB) = S(K A , CB) peut egalement etre tres 
longue en cas de recherche sequentielle, en tzheorie de 
l'ordre de n/2 tests avec une liste comportant n 
elements. Aussi, pour optimiser cette phase, la liste des 
couples obtenus (Ai, S(K Ai , CB) ) peut etre ordonnee de 
fagon croissante (ou decroissante) selon la valeur de la 
signature de compteur S(K Ai , CB) . La recheorche d'un 
couple dans cette liste ordonnee pour lequel la signature 
de compteur S(K Ai , CB) correspond a S(K A , CB) peut alors 
etre faite selon une recherche dichotomique. L'entite 
cliente recherchee est dans ce cas trouvee &n moyenne 
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apres avoir effectue log 2 (n) operations, ce qui procure 
un gain de temps important. 

Le compteur CB etant unique pour chaque authentif ication, 
il peut etre utilise comrae identifiant de session 
d 1 authentif ication . Ainsi, si plusieurs entites Ai sont 
en train de se faire authentifier simultanement par 
1 'entite B, cette derniere peut distinguer les dialogues 
grace a cette valeur. Il suffit pour cela que les entites 
clientes chercliant a s ' authentif ier retournent la valeur 
CB en plus de la valeur de signature S (KA, CB) . 

De preference, le compteur COMPTB fournissant la valeur 
de compteur d' authentif ication CB croit d'un pas fixe. 
Toutefois, le fait que le compteur CB croisse d'un pas 
fixe permet de prevoir les valeurs de compteur 
d' authentif ication qui seront utilisees lors des 
authentif icat ions a venir. De ce fait, un pirate peut 
demander plusieurs valeurs S(K A , CB) a une entite A pour 
plusieurs valeurs de compteurs CB et, ulterieurement, 
chercher a s ' authentif ier aupres de 1' entite B en lui 
retournant les valeurs precedemment obtenues de 1' entite 
cliente A. Ainsi, le pirate peut s 'authentif ier en se 
faisant passer pour A. Deux types de parade contre une 
telle attaque au systeme d' authentif ication peuvent etre 
mises en ceuvre. 

Tout d'abord, une premiere parade consiste a faire 
croitre le compteur COMPTB d'un pas aleatoire a chaque 
authentif ication, de sorte a ne plus utiliser des valeurs 
successives de CB. Dans ce cas, le compteur devra avoir 
une capacite plus grande afin de ne pas venir en butee . 
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Une autre parade consiste a ne plus faire signer a 
l'entite cliente A cherchant a s ' authentif ier une simple 
valeur de compteur CB, mais un couple (CB, alea), CB 
s ' incrementant regulierement et alea prenant des valeurs 
aleatoires . La valeur aleatoire est prevue pour etre 
differente pour chacune des valeurs de compteur 
d' authentif ication envoyee, et chaque etape de signature 
de compteur mise en oeuvre au cours du procede 
d' authentif ication dans l'une quelconque de ses variantes 
est alors remplacee par une etape de signature du couple 
^CB, alea), consistant en 1 ' application de la fonction 
cryptographique S avec en plus comme operande ladite 
valeur aleatoire associee. 

Le procede d' authentif ication tel qu'il vient d'etre 
decrit est vulnerable aux attaques par saut de compteur, 
basees sur le fait que les entites A et B se 
synchronisent sur la valeur de compteur CB a chaque 
authentif ication. Ainsi, une machine malveillante peut se 
faire passer pour l'entite d' authentif ication B et 
envoyer a l'entite cliente A cherchant a s ' authentif ier 
une valeur de compteur beaucoup plus grande que la valeur 
de compteur d' authentif ication CB effective, 

correspondant a la valeur courante du compteur COMPTB de 
l'entite B. En mettant a jour sa valeur de compteur 
memorisee CA avec cette grande valeur qui lui est 
soumise, l'entite A ne pourra plus repondre suite a une 
demande d ' authentif ication tant que la valeur de compteur 
CB de l'entite d' authentif ication B n'aura pas rattrapee 
cette valeur CA, a cause du test de la troisieme etape. 
De plus, si la machine malveillante fournit a l'entite A 
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une valeur de compteur maximale, cette derniere, en 
mettant a jour sa valeur de compteur memorisee CA a cette 
valeur maximale, devient def initivement inutilisable par 
la suite. 

Les parades a ces attaques portent plus particulierement 
sur la troisieme etape du procede d' authentif ication, ou 
l'entite cliente A compare la valeur de compteur CB regue 
avec la valeur de compteur CA memorisee par l'entite 
cliente A. 

Dans le cas ou CA > CB, selon une variante de 
1' invention, les etapes intermediaires suivantes sont 
mises en ceuvre : 

-l'entite A signale a l'entite B que sa valeur de 
compteur memorisee CA est plus grande que la valeur CB et 
lui renvoie CA ; 

-l'entite B envoie a A une valeur de compteur CBtemporaire > 
CA ; 

puis, les autres etapes du procede d' authentif ication 
sont mises en ceuvre sur la base de cette valeur de 
CBtemporaire et, si 1 ' authentif ication de l'entite A reussit 
avec CBtemporaire, alors l'entite B met a jour sa valeur de 
compteur d' authentif ication CB correspondant a 1 ' etat 
courant de son compteur COMPTB avec la valeur de compteur 
d' authentif ication CB temp oraire. Enfin, le compteur est 
increments pour une prochaine authentif ication . Ce 
processus permet a l'entite d' authentif ication de se 
premunir contre une attaque par saut de compteur. En 
effet, elle va d'abord authentif ier l'entite cliente A 
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avec CB teni p or aire, avant de mettre a jour son compteur. Ce 
processus permet egalement a l'entite cliente A de 
synchroniser le compteur de l'entite d' authentif ication B 
avec sa valeur de compteur memorisee, si ce dernier avait 
subi une attaque par saut de compteur. 

A ce stade, l'entite B peut aussi implementer des 
protections supplementaires . Par exemple, B peut 
n'autoriser qu'un certain nombre de ces synchronisations 
de compteur par entite cliente et par periode. Egalement, 
B peut n'autoriser ces protections que dans une limite 
raisonnable ou la difference entre la valeur dc compteur 
memorisee par l'entite cliente CA et la valeur de 
compteur d' authentif ication CB est inferieure a une 
valeur predetermines . 

Selon une autre variante, a la troisieme etape du 
procede, dans le cas ou la relation CA < CB est verifiee, 
on verifie en outre, c6te entite cliente, que la 
difference entre la valeur de compteur d' authentif ication 
CB recue et la valeur de compteur CA memorisee par 
l'entite cliente est inferieure ou egale a une valeur 
predetermine A, soit CB - CA ^ A. L'entite A n'accepte 
de signer la valeur de compteur CB que si cette condition 
supplementaire est verifiee. Cette condition 
supplementaire permet a l'entite cliente A cherchant a 
s' authentif ier de limiter les attaques par saut de 
compteur en n'acceptant qu'une incrementation moderee de 
sa valeur de compteur memorisee et en ignorant les 
sollicitations utilisant une valeur de compteur 
d' authentif ication tres superieure a sa valeur de 
compteur memorisee. 
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Selon un exemple de realisation, les valeurs de compteur 
CA et CB peuvent etre des nombres binaires codes sur au 
moins 128 bits, ce qui permet d'executer 2 128 
authentifications avant que le systems n' arrive a 
1' exhaustion du compteur COMPTB. 

Les etapes du procede selon 1' invention cote entite 
cliente, sont par exemple implementees sur une carte a 
puce, de preference une carte a puce sans contact. Une 
carte a puce pour la mise en ceuvre des etapes du procede 
selon 1' invention ne necessite que peu de capacite de 
calcul dans la mesure ou les operations a executer sont 
simples (au plus la signature d'un compteur). L'entite 
d' authentif ication se presente alors sous la forme d'un 
lecteur de carte a puce avec ou sans contact. 

Avant ageusement, grace au procede selon 1' invention, 
seule une entite d' authentif ication legitime peut 
reconnaitre l'identite de l'entite cliente cherchant a 
s' authentif ier. L'identite de l'entite cliente A 
cherchant a s ' authentif ier n'est connue que de l'entite 
d' authentif ication B et n'est jamais revelee au cours de 
1' authentif ication. De plus, l'entite cliente A ne sait 
pas sous quel nom elle est identifiee par l'entite 
d' authentif ication. L'entite qui s ' authentif ie n'a en 
fait aucune identite statique qui pourrait etre revelee. 
D' autre part, en faisant en sorte qu'une entite refuse de 
s' authentif ier en presence d'une question qui lui a deja 
ete soumise, un tiers malveillant est incapable de 
distinguer des entites. Au vue de deux authentifications 
successives, il n'est pas possible de dire si ce sont 
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deux entites distinctes ou la meme entite qui se sont 
authentifiees. L'anonymat est done complet. 
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REVENDI CATIONS 



1. Procede d'authentif ication d'au moins une entite 
cliente (A) par une entite d' authentif ication (B) , ladite 
entite d ' authentif ication (B) comprenant un ensemble de 
cles secretes (K Ai ) , chacune etant associee a une entite 
cliente (Ai) susceptible d'etre identifiee par ladite 
entite d' authentif ication, ledit procede etant 
caracterise en ce gu'il comprend les etapes suivantes 
consistant a : 

a-transmettre une demande d' authentif ication anonyme 
(DemandeAuthentif ication) de la part de 1' entite cliente 

(A) vers 1' entite d' authentif ication (B) ; 

b-envoyer de 1' entite d' authentif ication (B) vers 
1' entite cliente (A), une valeur de compteur 
d'authentif ication (CB) correspondant a l'etat courant 
d'un compteur (COMPTB) de 1' entite d' authentif ication 

(B) ; 

c-verifier, cote entite cliente (A) , que la valeur de 
compteur d' authentif ication (CB) recue est strictement 
superieure a une valeur de compteur (CA) memorisee par 
1' entite cliente ; 

d-calculer, cote entite cliente (A) , une signature de 
compteur par application d'une fonction cryptographique 
(S) partagee par 1' entite cliente et 1' entite 
d'authentif ication, avec comme operandes ladite valeur de 
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compteur d' authentif ication (CB) . et une cle secrete (K A ) 
associee a IL' entite cliente (A) ; 

e-transmetture ladite signature (S{K A , CB) ) de compteur a 
l'entite d' authentif ication (B) ; 

f-mettre a jour la valeur de compteur (CA) memorisee par 
l'entite cliente (A) avec ladite valeur de compteur 
d' authentif ication (CB) ; 

g-rechercher, cote entite d' authentif ication (B) , au 
mo ins une entite cliente (Ai) suc^eptible d'etre 
identifiee, pour laquelle la signature de compteur 
correspondante (S(K A i, CB) ) pour ladite valeur de 
compteur d' authentif ication (CB) est coherente avec la 
signature de compteur recue (S(K A , CB) ) ; 

h-faire crofLtre le compteur d' authentif ication (COMPTB) . 

2- Procede d ' authentif ication selon la revendication 1, 
caracterise en ce que les etapes b) a h) sont reiterees 
au moins line fois, de sorte a s' assurer que l'entite 
cliente identifiee est identique a chaque iteration . 

3. Procede selon la revendication 1 ou 2, caracterise en 
ce que l'etape de recherche consiste a : 

i-calculer, pour chaque entite cliente (Ai) susceptible 
d'etre identifiee, la signature de compteur 
correspondante (S(K Ai/ CB) ) par application de la 
fonction cryptographique (S) avec coirane operandes la 
valeur de compteur d' authentif ication (CB) et la cle 
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secrete associee (K Ai ) , de sorte a etablir une liste de 
couples entite cliente susceptible d'etre 

identif iee/signatuore de compteur correspondante (Ai, 
S(K Ai/ CB) ) , pour ladite valeur de compteur (CB) ; 

j -verifier la coherence entre la signature de compteur 
regue (S(K A/ CB) ) et au moins une signature de compteur 
(S(K Ai/ CB)) de ladite liste. 

4. Procede d' authentif ication selon la revendication 3, 
caracterise en ce que la liste des couples entite cliente 
susceptible d'etre identif iee/signature de compteur 
correspondante (Ai , SiK^, CB) ) etablie pour une valeur 
de compteur d' authentif ication (CB) donnee, est ordonnee, 
cote entite d' authentif ication, selon la valeur de ladite 
signature de compteur (S(K Ai , CB) ) . 

5. Procede d' authentif ication selon la revendication 3 ou 
4, caracterise en ce qu'en cas de coherence entre la 
signature de compteur regue ( S (KA, CB) ) et la signature 
de compteur (S(K Ai , CB) ) d'une pluralite de couples, les 
e tapes b) a h) sont reiterees jusqu'a obtention d'un 
couple unique pour lequel la signature de compteur 
correspond a la signature de compteur regue. 

6. Procede d' authentif ication selon la revendication 5, 
caracterise en ce Que, lors de la repetition de l'etape 
i), la signature d.e compteur (S(K Ai/ CB) ) est calculee 
uniquement pour les entites clientes (Ai) correspondant a 
ladite pluralite cde couples determinee a 1' iteration 
precedente . 
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7. Procede d'authentif ication selon l'une guelconque des 
revendications 3 a 5, caracterise en ce qu'il consiste a 
mettre en ceuvre l'etape i) de maniere anticipee par 
rapport a une demande d' authentif ication issue d'une 
entite cliente (A) a l'etape a), ladite etape i) 
anticipee consistant <a pre-etablir, cote entite 
d' authentif ication .(B), pour au moins une valeur de 
compteur d' authentif ication (CB) a venir, la liste des 
couples entite cliente susceptible d'etre 

identifiee/signature de compteur correspondante (Ai, 
S(K A i, CB) ) pour chacune desdites valeurs de compteur 
d' authentif ication a veruir, et a memoriser lesdites 
listes pre-etablies cote entite d' authentif ication (B) , 
tout envoi de 1' entite d' authentif ication (B) vers 
1' entite cliente (A) d'une valeur de compteur 
d' authentif ication (CB) , correspondant a 1 ' envoi d'une 
valeur de compteur d' authentif ication (CB) pour laquelle 
une liste des couples entite cliente susceptible d'etre 
identifiee/signature de compteur correspondante (Ai, 
S(K Ai/ CB) ) a deja ete pre-etablie. 

8. Procede d' authentif ication selon l'une quelconque des 
revendications precedentes , caracterise en ce que l'etape 
h) consiste a faire croitre le compteur 
d' authentif ication (COMPTB) d'un pas fixe. 

9. Procede d' authentif ication selon l'une quelconque des 
revendications 1 a 7, caracterise en ce que l'etape h) 
consiste a faire croitre le compteur d' authentif ication 
(COMPTB) d'un pas aleatoire . 
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10. Procede d' authentif ication selon 1'une quelconque des 
revendications 1 a 8, caracterrise en ce que, en reponse a 
une demande d' authentif ication, 1'etape b) consiste a 
envoyer, cote entite d' authentif ication (B) , en plus de 
la valeur de compteur d' authentif ication (CB) , une valeur 
aleatoire associee a ladite valeur de compteur (CB) , 
ladite valeur aleatoire etant differente pour chacune des 
valeurs de compteur d' authentif ication envoyee, chaque 
etape de signature de compteur mise en oeuvre au cours 
dudit procede etant remplacee par une etape de signature 
du couple valeur de compteur d' authentif ication/valeur 
aleatoire associee, consistant en 1 ' application de la 
fonction cryptographique (S) comprenant en plus corame 
operande ladite valeur aleatoire associee. 

11. Procede d' authentif ication selon l'une quelconque des 
revendications precedentes, caracterise en ce que 1'etape 
c) consiste en outre a verifier que la difference entre 
la valeur de compteur d' authentif ication (CB) regue et la 
valeur de compteur (CA) memorisee par 1 ' entite cliente 
est inferieure ou egale a une valeur predeterminee. 

12. Procede d' authentif ication. selon l'une quelconque des 
revendications 1 a 10, caracterise en ce que, 1'etape c) 
n' etant pas verifiee, les etapes intermediaires suivantes 
sont mises en oeuvre consistant a : 

-envoyer de 1' entite cliente (A) vers 1' entite 
d' authentif ication (B) , la valeur de compteur (CA) 
memorisee par 1' entite cliente ; 



26 



WO 2005/101726 



PCT/FR2005/000528 



-envoyer de l'entite d' authentif ication (B) vers l'entite 
cliente (A), une valeur de compteur d' authentif ication 
temporaire superieure a ladite valeur de compteur (CA) 
memorisee par l'entite cliente, puiis a : 

-mettre en oeuvre les etapes d) a g) sur la base de la 
valeur de compteur d' authentif ication temporaire et, en 
cas de succes de 1 ' authentif ication de ladite entite 
cliente, 

-mettre a jour la valeur de compteur d' authentif ication 
(CB) correspondant a l'etat courant c?u compteur (COMPTB) 
de l'entite d' authentif ication (B) avec la valeur de 
compteur d' authentif ication tempoiraire et mettre en oeuvre 
1 ' etape h) . 

13. Procede selon 1'une quelconque des revendi cat ions 
precedentes, caracterise en ce que 1' etape e) consiste a 
transmettre en outre a l'entite d ' authentif ication (B) la 
valeur de compteur d' authentif ication (CB) . 

14. Procede d' authentif ication selon 1'une quelconque des 
revendications precedentes, caracterise en ce que la 
valeur de compteur d' authentif ication (CB) est codee sur 
au moins 128 bits. 

15. Carte a puce, caracterise en ce qu'elle comprend un 
circuit integre et des moyens de memorisation d'une cle 
secrete (K A ) et de mise en oeuvre du procede selon 1'une 
quelconque des revendications 1 a 14 . 
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16. Carte a puce selon la revendication 15, caracterise 
en ce qu'il s'agit d'une carte a puce sans contact. 

0.7. Entite d' authentif ication (B) d'au moins une entite 
cliente (A) , caracterise en ce qu'elle comprend un 
lecteur de carte a puce dote de moyens pour la mise en 
oeuvre du procede selon l'une cjuelconque des 
revendications 1 a 14 . 

18. Entite d ' authentif ication selon la revendication 17, 
caracterise en ce qu'elle comprend un lecteur de carte a 
puce sans contact. 
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